IT Pentest / Penetrationstest

Wir erkennen Sicherheitslücken und Sicherheitsrisiken in Ihrem Netzwerk.

Wie sicher sind Sie das Ihre Mitarbeiter keine Pishing E-Mails öffnen und ggf. dort Informationen preisgeben?
Wie sicher sind Sie, dass Sie optimal vor allen aktuellen Bedrohungen aus dem Internet geschützt sind?
Wie können Sie sicherstellen; dass ALLE IT-Systeme Ihres Unternehmens regelmäßig auf den neuesten Versionen aktualisiert werden?

Was versteht man unter einem Pentest?

Ein Penetrationstest oft Pentest genannt ist ein bewährtes Vorgehen, um das Potential eines Angriffs auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung zu ermitteln. Dabei werden die einzelnen IT-Services (Webanwendung, Fileserver, Mailserver, etc.) und die zugrunde liegenden IT-Systeme (Betriebssystem, Datenbank, etc.) auf Schwachstellen überprüft.
Ziel ist es, die Erfolgsaussichten möglicher Angriffe einzuschätzen und daraus notwendige zusätzliche Sicherheitsmaßnahmen abzuleiten. Ein Penetrationstest kann auch für die Überprüfung der Wirksamkeit bereits umgesetzter Sicherheitsmaßnahmen verwendet werden.

Social Engineering
WebAPP / Webseiten
WLAN
Intern Netzwerk Scan
Mitarbeitersensibilisierung
Extern Internet Scan

Ein Cyberangriff kann nicht nur Auswirkungen auf Ihre IT-Systeme haben, sondern auch auf Ihre Finanzen oder Ihr Unternehmensimage.

Service

UNSERE LÖSUNGEN

Im Rahmen des Penetrationstest bzw. kurz Pentest, versuchen unsere IT-Experten durch gezielt ausgeführte Angriffe die Empfindlichkeit von Netzwerken und IT-Systemen gegenüber Einbruchs- und Manipulationsversuchen festzustellen. Es werden hierfür ähnliche Methoden und Techniken verwendet, wie sie Hacker einsetzen, um unautorisiert in ein System einzudringen. In diesem Rahmen werden einerseits sämtliche IT-Systeme im Netzwerk auf Schwachstellen geprüft. Auf der anderen Seite erfolgt ein sogenanntes Social-Engineering. Unter anderem können durch simulierte Pishing E-Mails versucht werden Mitarbeitern sicherheitsrelevante Informationen, wie zum Beispiel Passwörter, zu entlocken.

Zielsetzung

  • Sicherheitslücken in Software
  • Offenen Ports
  • Veraltete Softwareversionen
  • Unzureichenden Zugriffsbeschränkungen
  • Fehlerhafte Konfiguration
  • Ungeschulte Mitarbeiter
  • Erhöhung der Sicherheit
  • Bestätigung der IT-Sicherheit

Ablauf eines Pentest

01

Vorgespräch

Wir sprechen persönlich über Ihre Sicherheitsbedürfnisse und unsere gemeinsamen Aufgaben,

02

Kickoff

Aufnahme des Status quo, um Ziel und Umfang des Penetrationstests, gemäß Ihrer Situation und Gefährdungslage zu ermitteln.

03

Penetrationstests

Entdeckung möglicher Schwachstellen durch gezielte Tests. Dabei wenden wir ähnliche Methoden an, die auch kriminelle Hacker nutzen.

04

Berichterstellung

Zusammenfassung der Pentestergebnisse und aller gefundenen Schwachstellen sowie Handlungsempfehlungen zu deren Behebung.

05

Präsentation

Im Abschlussgespräch präsentieren wir die Ergebnisse und gehen mit Ihnen zusammen mögliche Lösungswege durch.

06

Schulung

Wir bilden Ihr Personal zu speziellen Themen rund um das Thema IT-Sicherheit weiter.

Einmaliger Pentest

Unsere einmalige Analyse ermöglicht eine unparteiische Bewertung Ihres Sicherheitsniveaus und die Vermeidung eines Anbieterwechsels. Mit unserer bewährten Pentest Methode, helfen wir Ihnen das Schutzniveau Ihres Netzwerks, Ihrer Mitarbeiter, Anwendung oder von anderen Netzwerkgeräte Ihrer IT-Umgebung zu bewerten.
Im Anschluss erhalten Sie eine detaillierte Analyse über alle gefunden Schwachstellen und entsprechenden Handlungsbedarf.
Gerne beheben wir für Sie gefundenen Schwachstellen im Anschluss oder Sie kümmern sich um die Behebung.
Damit können Sie entscheiden, ob Sie sich um die Behebung kümmern oder

Pentest as a Service - PaaS

Unsere Lösung „Pentest as a Service” richtet sich an Unternehmen welche Gesetzliche Anforderung zur Durchführung eines Penetration Tests erfüllen müssen. Oder Unternehmen, welche wenige Ressourcen für die Abarbeitung der Findings haben.
``Pentest as a Service`` ermöglicht zeitlich und individuell auf Ihr Unternehmen abgestimmte Penetration Tests, beispielsweise nach Bedarf quartalsweise oder halbjährlich.

Social Engineering

Das größte und am einfachsten zu treffende Ziel sind in den meisten Unternehmen die Mitarbeiter. Das macht Phishing so lukrativ für Angreifer – und sehr gefährlich für Sie und Ihr Unternehmen.
Bei Social Engineering, auch als „Social Hacking“ bekannt, versuchen wir Ihren Mitarbeitern sicherheitsrelevante Informationen, wie z. B. Passwörter, über sogenannte Pishing E-Mails zu entlocken.
Über den Schlussreports können Sie sich detailliert über das Abschneiden Ihres Unternehmens insgesamt und die Ergebnisse einzelner Benutzer informieren.

Awareness-Schulung - Mitarbeitersensibilisierung

Eine Schulung, die den richtigen Umgang mit Passwörtern lehrt. Außerdem, wie man mit unbekannten und unerwarteten E-Mails umgeht, damit sich kein Virenbefall einnistet. Und natürlich, wie man Gefahren aus dem Internet ordentlich begegnet!
Die Schulung ist als Präsenzveranstaltung, als Live Online Seminar oder als Videokurs möglich. Am Ende bekommt jeder Teilnehmer ein Merkblatt mit einer Zusammenfassung.

Arten von IT-Penetrationstests

IT-Infrastruktur-Penetrationstest

Das Testen von z.B. Server-Systemen, Firewalls, WLAN-Netzen, VPN-Zugängen oder Firewall auf Sicherheitslücken gehört in diese Kategorie.

Dabei handelt es sich um die ersten Pentests, die in der Geschichte der IT-Security angeboten wurden. Damals wurden oft von ehemaligen Hackern Tests an der IT-Infrastruktur durchgeführt. Einen IT-Penetrationstest von (ehemaligen) Hackern durchführen zu lassen, ist jedoch keine gute Idee. Wenn der ehemalige Hacker doch rückfällig wird, ist der Schaden groß. Das Risiko ist einfach zu hoch.
Heute noch sind Infrastruktur-Penetrationstests ein wichtiger Faktor, um die IT-Sicherheit bei vielen Systemen sicherzustellen.

Webanwendungs-Penetrationstest

Webanwendungen sind interaktive Anwendungen, die über das Web zugänglich sind. Meist kann mittels eines Browsers mit der Anwendung gearbeitet werden. Ein Beispiel für eine klassische Webanwendung ist ein Webshop. Weitere Webanwendungen finden sich in Portalen für Kundenverwaltung, Fotobuchsoftware im Web, Systemen zum Monitoren von Servern und Diensten uvm. Kennzeichnend für eine Webanwendung ist, dass Benutzer mit dem System plattformübergreifend interagieren können.

Black-Box-Penetrationstest

Hier weiß der Tester nicht, welche Systeme ihn erwarten. Er hat keine Kenntnisse über die IT-Infrastruktur. Der Pentester muss genauso wie Hacker vorgehen und sich selbst ein Bild über die Infrastruktur schaffen. Dies ist genau das Gegenteil zum White-Box-Penetrationstest.

White-Box-Penetrationstest

Hier weiß der Pentester alles über die IT-Infrastruktur: Welche Server, Betriebssysteme, Dienste und Anwendungen laufen, welche Ports offen sind/sein sollten. Da der Tester alle Informationen hat, ist die Effektivität viel höher als bei einem Black-Box-Penetrationstest. Es kann genau auf die bekannten Systeme hin getestet werden. Der Soll-Ist-Vergleich der IT-Sicherheit tritt hier am klarsten zu Tage.

Grey-Box-Penetrationstest

Hier weiß der Penetrationstester bereits etwas über die IT-Infrastruktur. Auch wird oft der Zweck der IT-Systeme schon beim Kundengespräch kurz angerissen. Es handelt sich um das häufigste Vorgehen, da oft zu testende IP-Bereiche festgelegt und möglicherweise bestimmte Systeme aus dem Test ausgeklammert werden.

Externer Pentest

Der externe Penetrationstest symbolisiert den „klassischen“ Cyberangriff von außen. Dabei versucht unser IT-Security-Experte über die aus dem Internet erreichbaren Systeme in das unternehmensinterne Netzwerk einzudringen. Im Fokus der Untersuchung liegen die Firewall und Systeme der Demilitarisierten Zone (DMZ – ein Netzwerk, das als Pufferzone fungiert und von der Firewall überwacht wird, wie z.B. Web- oder Mailserver), um anschließend die Möglichkeiten eines Datenzugriffs- oder Diebstahls aufzudecken. Unsere Experten versuchen auch – sofern erlaubt – von der DMZ in das interne Netzwerk vorzudringen.

Interner Pentest

Bei einem internen Penetrationstest liegt der Ausgangspunkt innerhalb des Unternehmensnetzwerks, d.h. der Angreifer hat bereits Zugang zum internen Netzwerk erhalten. Dies simuliert den Fall, dass ein Angreifer sich bereits auf dem Gerät eines Mitarbeiters befindet. Somit ist das Ziel des internen Pentests festzustellen, welche Schäden erfolgen können, wenn Unternehmenszugänge kriminell missbraucht werden. Ein Angriff von innen heraus kann oft einen größeren Schaden in kürzerer Zeit anrichten als ein externer Angriff, da einige Schutzsysteme bereits umgangen oder überwunden wurden.

Angebot anfordern

Fragen Sie unseren Penetrationstest unverbindlich an!